本文利用分布式鲁棒优化技术，开发了一种机制设计模型，以实现最高准确度和隐私预选级别的非渐近和无条件最优性保证。

Apr, 2023

本文研究在简单自然数据模型中，对抗鲁棒学习的样本复杂度可以显著大于标准学习，这个差距是信息理论的，且与训练算法或模型家族无关。作者做了一些实验来证实这个结果。我们可以假设训练鲁棒分类器的困难，至少部分来自这种固有的更大的样本复杂度。

Apr, 2018

利用分布鲁棒优化的方式解决神经网络在对抗攻击下的鲁棒性问题，通过在 Wasserstein ball 内惩罚扰动数据分布的方式，通过我们提出的训练过程，能够实现对训练数据的最坏情况扰动而获得中等水平的健壮性，同时具有较小的计算和统计成本，并且我们的统计保证使我们能够有效地验证整体损失的健壮性，对于感知扰动，我们的方法与启发式方法相匹配或更好。

Oct, 2017

使用敌对训练和差分隐私训练的组合，本研究探讨了针对同时攻击的防御方法。通过使用成员推断攻击来基准测试 DP-Adv 技术的性能，并实证显示该方法的隐私性与非鲁棒私有模型相当。此外，该研究还强调了在动态训练范式中探索隐私保证的需求。

Jan, 2024

本篇研究通过分类对抗性攻击和防御方法，提出三类半定界数理优化问题，即对抗 (再) 训练、正则化方法和认证防御，并调查了最近的研究成果和挑战以及展望未来的发展。

Jul, 2020

本文提出了一个信息理论框架，用于评估在参数化贝叶斯设置下训练分类器所需的标记样本数量，并使用 $L_p$ 距离导出分类器和真实后验概率分类器之间的平均距离的上下界，并利用 $ L_p $ 丢失作为畸变度量，以后验分布的微分熵和插值维度的数量为最大先验分类器提供了下界和上界，这表征了参数分布族的复杂性，同时提供了计算贝叶斯 $L_p$ 风险的下界，是可能近似正确（PAC）框架的补充，该框架提供了涉及 Vapnik-Chervonenkis 维度或 Rademacher 复杂性的最小极大风险界，而所提出的速率 - 失真框架则为数据分布平均的风险提供了下界。

May, 2016

介绍了一种隐私机制，用于训练机器学习模型以保证隐私，并使用敌对训练算法最小化模型的分类损失和最大的成员推断攻击，从而提高模型的鲁棒性和泛化性能，该机制在深度神经网络上的测试结果表明，可以在可接受的分类误差下显著降低成员推断攻击的风险。

Jul, 2018

该研究提出了一个确定深度学习模型标签更改是否合理的框架，并且定义了一个自适应的鲁棒性损失，使用导出的经验公式，开发了相应的数据增强框架和评估方法，证明了其对确定性标签下的一阶最近邻分类的维持一致性，并提供了实证评估结果。

Jun, 2021

我们在最近的工作中（Bubeck，Price，Razenshteyn, arXiv:1805.10204）指出，机器学习中的对抗性例子可能是由于问题固有的计算难度造成的。更确切地说，我们构建了一个二元分类任务，其中（i）存在强大的鲁棒分类器；但在（ii）统计查询模型中无法使用有效算法获得任何非平凡的准确性。在本文中，我们显着加强了（i）和（ii）：我们现在构建了一个任务，该任务允许（i'）最大限度地鲁棒的分类器（即它可以容忍与示例本身大小相当的扰动）；此外，我们证明了在（ii'）标准加密假设下学习此任务的计算困难性。

Nov, 2018

本文介绍了在防御对抗性样本攻击的设计中，鲁棒性和准确性之间的一个权衡，提出了一种 TRADES 防御方法，该方法在真实数据集中表现良好，并在 NeurIPS 2018 对抗视觉挑战中获得第一名。

Jan, 2019